Zakupy online oraz operacje finansowe i bankowość w internecie to świetne usługi, które oszczędzają nam mnóstwo czasu i ułatwiają nasze życie. Niestety, te same technologie ułatwiają także życie cyberprzestępcom, oferując im nowe i dość bezpośrednie metody dobierania się do pieniędzy użytkowników. Korzystanie ze skradzionych danych płatniczych to popularna i efektywna metoda na szybki zarobek. Liczba ataków ciągle rośnie i nie pomaga nawet to, że banki coraz częściej dokładają wszelkich starań, by chronić swoich klientów. Warto podkreślić, że dla cyberprzestępcy znacznie łatwiejsze jest zaatakowanie użytkownika niż serwisu internetowego banku. Użytkownicy często korzystają z komputerów, na których można znaleźć niezałatane, stare wersje rozmaitych aplikacji, które aż proszą się wykorzystanie do infekcji. Kradnąc stosunkowo niewielkie kwoty z każdego porwanego konta, cyberprzestępca może przez długi czas pozostać niezauważony i zgromadzić całkiem niezłą sumkę. Do tego ataki na użytkowników indywidualnych mogą łatwo zostać zautomatyzowane i nie wymagają od cyberprzestępców dużych nakładów pracy oraz pieniędzy.
Bronie masowej infekcji
Trojany bankowe od kilku lat są popularnym narzędziem na rynku cyberprzestępczym. Ogromna ilość użytkowników, którzy nie dbają o uaktualnianie systemów i aplikacji daje atakującym olbrzymie możliwości. Typowy trojan infekuje komputer i gromadzi wszelkie informacje związane z płatnościami. Niektóre szkodniki potrafią nawet przeprowadzać transakcje finansowe w imieniu użytkowników. Na przykład, trojan ZeuS dynamicznie podmienia formularze na stronach WWW, co pozwala mu na przychwytywanie informacji takich jak numer karty płatniczej, kod CVC2/CVV2, imię i nazwisko, adres itp.
Pokonywanie drugiej bariery
Niektóre banki próbują utrudnić życie cyberprzestępcom wprowadzając skomplikowane, dodatkowe techniki uwierzytelniania, takie jak tokeny – małe urządzenia podłączane przez USB, na których zapisany jest unikatowy klucz użytkownika, wymagany za każdym razem podczas realizowania transakcji finansowej. Twórcy trojana Lurk tak poradzili sobie z tym mechanizmem:
- Użytkownik inicjuje transakcję finansową w systemie banku i wprowadza odpowiednie informacje.
- Trojan przechwytuje szczegóły dotyczące płatności i czeka aż system banku poprosi o token.
- System bankowy prosi użytkownika o podłączenie tokena, a użytkownik umieszcza go w odpowiednim porcie komputera.
- Trojan przechwytuje to zdarzenie i wyświetla na ekranie „niebieski ekran śmierci”, co ma zasugerować użytkownikowi, że jego komputer wykonuje właśnie zrzut pamięci w celu przeprowadzenia dalszej analizy, i prosi, by nie wyłączać komputera aż do zakończenia tej operacji.
- Podczas gdy użytkownik czeka na zakończenie wykonywania rzekomego zrzutu pamięci (a pamiętajmy, że token ciągle znajduje się w porcie komputera), cyberprzestępcy, którzy zdążyli już uzyskać dostęp do konta, spokojnie realizują swoją transakcję finansową.
System bezpieczeństwa transakcji finansowych
Gdy bankowy szkodliwy program dostanie się już do komputera, musi znaleźć jakiś sposób na przechwycenie informacji dotyczących płatności. Trojany najczęściej używają następujących technik:
- infekcja przeglądarki (dynamiczne modyfikowanie treści wyświetlanych na stronach WWW);
- porwanie sesji HTTP/HTTPS (klasyczny przykład ataku typu ‚man-in-the-middle’);
- fałszowanie uwierzytelniania lub przekierowanie na stronę phishingową;
- wykonywanie graficznych zrzutów zawartości ekranu;
- przechwytywanie znaków wprowadzanych z klawiatury.
Zrozumienie tej listy zagrożeń pozwala na stworzenie poniższego scenariusza bezpiecznej płatności:
- Użytkownik otwiera stronę służącą do realizowania płatności w przeglądarce internetowej.
- Rozwiązanie antywirusowe wykrywa ten fakt i skanuje system operacyjny w poszukiwaniu krytycznych luk. Przykładem może być nasza technologia „Bezpieczne pieniądze”, która powstała z myślą o ochronie danych finansowych.
- Jednocześnie, moduł antyphishingowy sprawdza adres URL w bazie zasobów zaufanych.
- Antywirus sprawdza certyfikat wykorzystywany do nawiązania bezpiecznego połączenia.
- Jeżeli certyfikat znajduje się w bazie zasobów zaufanych, antywirus zezwala na uruchomienie przeglądarki i nawiązanie bezpiecznego połączenia HTTPS z żądanym adresem URL. Proces przeglądarki jest monitorowany, co uniemożliwia innym aplikacjom wypłynięcie na jej działanie.
- Użytkownik wprowadza szczegóły transakcji finansowej (numer karty, kod CVV2/CVC2, dane osobowe itp.) przy użyciu bezpiecznej klawiatury, która gwarantuje, że informacje nie zostaną przechwycone przez keyloggery.
Srebrny nabój
Banki i systemy płatności aktywnie chronią swoich użytkowników. Zaawansowane, wieloetapowe uwierzytelnianie, użycie dodatkowych narzędzi (np. tokeny), rozmaite ostrzeżenia o potencjalnych oszustwach – wszystko to ma zabezpieczać nasze pieniądze. Jednak, cyberprzestępcy ciągle wymyślają nowe i równie zaawansowane sposoby na obchodzenie tych zabezpieczeń.
Właśnie dlatego bardzo ważne jest stosowanie solidnej ochrony po stronie użytkownika. Dokładnie taki cel przyświecał nam, gdy projektowaliśmy technologię „Bezpieczne pieniądze”, która stanowi integralny element produktów Kaspersky Internet Security oraz Kaspersky PURE.